Journalisation de l'activité - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation de l'activité

En plus de fournir des informations sur les sessions actuelles et terminées dans la console Systems Manager,Session Managervous fournit des options pour la journalisation de l'activité de session dans votre Compte AWS . Cela vous permet d'effectuer les tâches suivantes :

  • Créer et stocker des journaux de session à des fins d'archivage.

  • Générer un rapport affichant les détails de chaque connexion à vos instances via Session Manager au cours des 30 derniers jours.

  • Générer des notifications d'activité de session sur votre Compte AWS , telles que les notifications Amazon Simple Notification Service (Amazon SNS).

  • Lancer automatiquement une autre action sur une ressource AWS à la suite de l'activité de session, par exemple l'exécution d'une fonction AWS Lambda, le démarrage d'un pipeline AWS CodePipeline ou l'exécution d'un document AWS Systems Manager Run Command.

Important

Prenez note des exigences et limitations suivantes pourSession Manager :

  • Session Managerenregistre les commandes que vous entrez et leur sortie au cours d'une session en fonction de vos préférences de session. Pour empêcher l'affichage de données sensibles, telles que les mots de passe, dans vos journaux de session, nous vous recommandons d'utiliser les commandes suivantes lors de la saisie de données sensibles au cours d'une session.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • Si vous utilisez Windows Server 2012 ou version antérieure, les données contenues dans vos journaux peuvent ne pas être formatées de manière optimale. Nous vous recommandons d'utiliser Windows Server 2012 R2 et versions ultérieures pour optimiser vos formats de journaux.

  • Si vous utilisez Linux oumacOS, assurez-vous que l'utilitaire d'écran est installé. Si ce n'est pas le cas, il se peut que vos données de journaux soient tronquées. Sur Amazon Linux, Amazon Linux 2 et Ubuntu Server, l'utilitaire d'écran est installé par défaut. Pour installer l'écran manuellement, selon votre version de Linux, exécutezsudo yum install screenousudo apt-get install screen.

  • La journalisation n'est pas disponible pourSession Managerqui se connectent via le transfert de port ou SSH. Cela est dû au fait que SSH crypte toutes les données de session, etSession Managersert uniquement de tunnel pour les connexions SSH.

Pour plus d'informations sur les autorisations requises pour utiliser Amazon S3 ou Amazon CloudWatch Logs pour la journalisation des données de session, consultez les pagesCréation d'un profil d'instance autorisant les actions de journalisationSession Manageret Amazon S3 et CloudWatch Logs (console).

Pour de plus amples informations sur les options de journalisation pourSession Manager.

Diffusion des données de session à l'aide des Amazon CloudWatch Logs (console)

Vous pouvez envoyer un flux continu de journaux de données de session LoAmazon CloudWatch Logs. Les détails essentiels, tels que les commandes qu'un utilisateur a exécutées dans une session, l'ID de l'utilisateur qui a exécuté les commandes et les horodatages pour le moment où les données de session sont diffusées dans les CloudWatch Logs, sont inclus lors de la diffusion en continu des données de session. Lors de la diffusion en continu de données de session, les journaux sont au format JSON pour vous aider à intégrer vos solutions de journalisation existantes. Les données de session en continu ne sont pas prises en charge pour les commandes interactives

Note

Pour diffuser des données de session depuisWindows Server, vous devez disposer de PowerShell 5.1 ou version ultérieure installé. Par défaut,Windows Server2016 et versions ultérieures ont la version PowerShell requise installée. Toutefois,Windows Server2012 et 2012 R2 n'ont pas la version PowerShell requise installée par défaut. Si vous n'avez pas déjà mis à jour PowerShell sur votreWindows Server2012 ou 2012 R2, vous pouvez le faire en utilisantRun Command. Pour plus d'informations sur la mise à jour de PowerShellRun Command, voirMettre à jour PowerShell en utilisantRun Command.

Important

Si vous avez le pluginTranscription PowerShellconfiguré sur votreWindows Server, vous ne serez pas en mesure de diffuser les données de session.

Pour diffuser des données de session à l'aide des Amazon CloudWatch Logs (console)

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, choisissez Session Manager.

  3. Sélectionnez l'onglet Préférences, puis Modifier.

  4. Cochez la case en regard deActiverUDERJournalisation CloudWatch.

  5. Cliquez sur l'ongletJournaux de sessionoption.

  6. (Recommandé) Cochez la case en regard deAutoriser uniquement les groupes de journaux CloudWatch chiffrés. Avec cette option activée, les données de journaux sont chiffrées à l'aide de la clé de chiffrement côté serveur spécifiée pour le groupe de journaux. Si vous ne souhaitez pas chiffrer les données de journaux qui sont envoyées vers CloudWatch Logs, cochez la case. Vous devez également désactiver la case à cocher si le chiffrement n'est pas autorisé sur le groupe de journaux.

  7. PourCloudWatch LogsPour spécifier le groupe de journaux CloudWatch Logs existant dans votre fichier Compte AWS Pour télécharger les journaux de session dans, sélectionnez l'une des options suivantes :

    • Saisissez le nom d'un groupe de journaux dans la zone de texte qui a déjà été créée dans votre compte pour stocker les données de journaux de session.

    • Parcourir les groupes de journaux : Sélectionnez un groupe de journaux qui a déjà été créé dans votre compte pour stocker les données de journaux de session.

  8. Choisissez Enregistrer.

Journalisation des données de session avec Amazon S3 (console)

Vous pouvez choisir de stocker les données des journaux de session dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre choix à des fins de débogage et de dépannage. L'option par défaut est pour les journaux à envoyer à un compartiment Amazon S3 chiffré. Le chiffrement est effectué à l'aide de la clé spécifiée pour le compartiment, soit unAWS KMS keyou une Amazon S3 E (Server-Side Encryption, AES-256).

Important

Lorsque vous utilisez des compartiments d'hébergement virtuel avec SSL (Secure Sockets Layer), le certificat générique SSL correspond uniquement aux compartiments qui ne contiennent pas de points. Pour contourner ce problème, utilisez HTTP ou écrivez votre propre logique de vérification de certificat. Il est recommandé de ne pas utiliser de point (« . ») dans les noms de compartiment lors de l'utilisation de compartiments d'hébergement virtuel.

Chiffrement de compartiment Amazon S3

Pour envoyer des journaux à votre compartiment Amazon S3 via le chiffrement, le chiffrement doit être autorisé sur le compartiment. Pour de plus amples informations sur le chiffrement de compartiment Amazon S3, veuillez consulter.Chiffrement par défaut d'Amazon S3 pour compartiments S3.

Clé gérée par le client

Si vous utilisez une clé KMS que vous gérez vous-même pour chiffrer votre compartiment, alors le profil d'instance IAM attaché à vos instances doit disposer des autorisations explicites pour lire la clé. Si vous utilisez uneAWS, l'instance ne nécessite pas cette autorisation explicite. Pour de plus amples informations sur l'octroi d'une autorisation d'utilisation d'une clé à un profil d'instance, veuillez consulterPermet aux utilisateurs de clés d'utiliser la clédans leAWS Key Management ServiceManuel du développeur.

Veuillez procéder comme suit pour configurerSession ManagerPour stocker les journaux de session dans un compartiment Amazon S3.

Note

Vous pouvez également utiliser l'AWS CLIPour spécifier ou modifier le compartiment Amazon S3 vers lequel les données de session sont envoyées. Pour plus d'informations, consultez Mettre à jour les préférences Session Manager (ligne de commande).

Pour consigner les données de session à l'aide d'Amazon S3 (console)

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, choisissez Session Manager.

  3. Sélectionnez l'onglet Préférences, puis Modifier.

  4. Cochez la case en regard deActiverUDERJournalisation S3.

  5. (Recommandé) Cochez la case en regard deAutoriser uniquement les compartiments S3 chiffrés. Avec cette option activée, les données de journaux sont chiffrées à l'aide de la clé de chiffrement côté serveur spécifiée pour le compartiment. Si vous ne souhaitez pas chiffrer les données de journaux qui sont envoyées à Amazon S3, cochez la case. Vous devez également désactiver la case à cocher si le chiffrement n'est pas autorisé sur le compartiment S3.

  6. Pour S3 bucket name (Nom du compartiment S3), sélectionnez l'une des opérations suivantes :

    Note

    Il est recommandé de ne pas utiliser de point (« . ») dans les noms de compartiment lors de l'utilisation de compartiments d'hébergement virtuel. Pour de plus amples informations sur les conventions Amazon S3, veuillez consulterLimites et restrictions applicables aux compartimentsdans leManuel du développeur Amazon Simple Storage Service.

    • Choisissez un nom de compartiment dans la liste : Sélectionnez un compartiment Amazon S3 qui a déjà été créé dans votre compte pour stocker les données de journaux de session.

    • Saisissez un nom de compartiment dans la zone de texte : Saisissez le nom d'un compartiment Amazon S3 qui a déjà été créé dans votre compte pour stocker les données de journaux de session.

  7. (Facultatif) Pour S3 key prefix (Préfixe de clé S3), saisissez le nom d'un dossier existant ou d'un nouveau dossier pour stocker les journaux dans le compartiment sélectionné.

  8. Choisissez Enregistrer.

Pour plus d'informations sur l'utilisation des compartiments Amazon S3 et Amazon S3, consultez la rubriqueGuide de mise en route Amazon Simple Storage Serviceet l'Manuel de l'utilisateur Amazon Simple Storage Service Console.

Journalisation des données de session à l'aide de Amazon CloudWatch Logs (console)

Avec Amazon CloudWatch Logs, vous pouvez surveiller et stocker les fichiers journaux, et y accéder, à partir de différentsAWSServices . Vous pouvez envoyer des données de journaux de session à un groupe de journaux Logs CloudWatch à des fins de débogage et de dépannage. L'option par défaut est que les données de journaux soient envoyées avec chiffrement à l'aide de votre clé KMS, mais vous pouvez envoyer les données à votre groupe de journaux avec ou sans chiffrement.

Veuillez procéder comme suit pour configurerAWS Systems Manager Session ManagerPour envoyer des données de journaux de session à un groupe de journaux Logs CloudWatch à la fin de vos sessions.

Note

Vous pouvez également utiliser l'AWS CLIPour spécifier ou modifier le groupe de journaux CloudWatch Logs vers lequel les données de session sont envoyées. Pour plus d'informations, consultez Mettre à jour les préférences Session Manager (ligne de commande).

Pour consigner les données de session à l'aide d'Amazon CloudWatch Logs (console)

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, choisissez Session Manager.

  3. Sélectionnez l'onglet Préférences, puis Modifier.

  4. Cochez la case en regard deActiverUDERJournalisation CloudWatch.

  5. Cliquez sur l'ongletChargement de journaux de sessionoption.

  6. (Recommandé) Cochez la case en regard deAutoriser uniquement les groupes de journaux CloudWatch chiffrés. Avec cette option activée, les données de journaux sont chiffrées à l'aide de la clé de chiffrement côté serveur spécifiée pour le groupe de journaux. Si vous ne souhaitez pas chiffrer les données de journaux qui sont envoyées vers CloudWatch Logs, cochez la case. Vous devez également désactiver la case à cocher si le chiffrement n'est pas autorisé sur le groupe de journaux.

  7. PourCloudWatch LogsPour spécifier le groupe de journaux CloudWatch Logs existant dans votre fichier Compte AWS Pour télécharger les journaux de session dans, sélectionnez l'une des options suivantes :

    • Choisissez un groupe de journaux dans la liste : Sélectionnez un groupe de journaux qui a déjà été créé dans votre compte pour stocker les données de journaux de session.

    • Saisissez un nom de groupe de journaux dans la zone de texte : Saisissez le nom d'un groupe de journaux qui a déjà été créé dans votre compte pour stocker les données de journaux de session.

  8. Choisissez Enregistrer.

Pour de plus amples informations sur l'utilisation de CloudWatch Logs, consultez leGuide de l'utilisateur Amazon CloudWatch Logs.